企業(yè)合規(guī)視角下的《個(gè)人信息保護(hù)法 (草案) 》解讀
自2018年5月25日歐盟《一般數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)正式施行以來,受制于其全球管轄帶來的網(wǎng)絡(luò)主權(quán)危機(jī),全球個(gè)人數(shù)據(jù)保護(hù)立法掀起層層高潮,美國、日本、新加坡、韓國、巴西、印度乃至阿聯(lián)酋等國家都陸續(xù)完成了相關(guān)個(gè)人數(shù)據(jù)立法工作。作為全球最大的互聯(lián)網(wǎng)市場,中國在法律層面一直沒有出臺針對個(gè)人數(shù)據(jù)的專門立法。萬千企盼之下,《個(gè)人信息保護(hù)法》(草案)(以下簡稱《草案》)正式全文發(fā)布。
《草案》全文共八章七十條,在總則、個(gè)人信息處理規(guī)則、個(gè)人信息跨境提供的規(guī)則、個(gè)人在個(gè)人信息處理活動中的權(quán)利、個(gè)人處理者的義務(wù)、履行個(gè)人信息保護(hù)職責(zé)的部門、法律責(zé)任和附則等多個(gè)層面設(shè)計(jì)和建構(gòu)個(gè)人信息保護(hù)的立法框架。作為數(shù)據(jù)合規(guī)行業(yè)的資深從業(yè)者,我們最為關(guān)注的是與現(xiàn)有的個(gè)人信息保護(hù)規(guī)范體系,特別是標(biāo)準(zhǔn)GB/T 35273—2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(以下簡稱《個(gè)人信息安全規(guī)范》)相比,《個(gè)人信息保護(hù)法》對于數(shù)據(jù)合規(guī)實(shí)務(wù)方面產(chǎn)生的重大影響。本文之目的亦在于從企業(yè)風(fēng)控合規(guī)的實(shí)操角度觀察《個(gè)人信息保護(hù)法》(草案)可能對實(shí)務(wù)工作發(fā)生影響的以下【23】個(gè)重要條款。
第一章 總則部分
1. 個(gè)人信息的定義采用寬入口設(shè)計(jì)
個(gè)人信息是“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息”。
從該定義可見,個(gè)人信息的定義采納了《個(gè)人信息安全規(guī)范》個(gè)人信息定義的最寬入口模式,無論是識別法(從信息到個(gè)人)或關(guān)聯(lián)法(從個(gè)人到信息)得到的信息均被認(rèn)為是個(gè)人信息的范疇。該條款的設(shè)計(jì)實(shí)質(zhì)上也與GDPR設(shè)計(jì)思路一致。
2. 適用范圍采用屬地屬人雙重適用原則
屬地屬人原則雙重適用。屬地原則方面,“組織、個(gè)人在中華人民共和國境內(nèi)處理自然人個(gè)人信息的活動,適用本法“;屬人原則方面,”在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個(gè)人信息的活動,有下列情形之一的,也適用本法:
(一) 以向境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的;
(二) 為分析、評估境內(nèi)自然人的行為;
(三) 法律、行政法規(guī)規(guī)定的其他情形。“
同時(shí),《草案》亦在最末明確了不適用的情形,包括:
“(一)自然人因個(gè)人或者家庭事務(wù)而處理個(gè)人信息的,不適用本法。
(二)法律對各級人民政府及其有關(guān)部門組織實(shí)施的統(tǒng)計(jì)、檔案管理活動中的個(gè)人信息處理有規(guī)定的,適用其規(guī)定。”
3. 重要原則新增合法正當(dāng)誠信原則、質(zhì)量原則和協(xié)同治理原則
《草案》確立了七項(xiàng)重要原則,包括合法正當(dāng)誠信原則,目的明確必要原則,透明原則,質(zhì)量原則,責(zé)任和安全保護(hù)原則,禁止非法處理原則,協(xié)同治理原則。相對于合法正當(dāng)誠信原則、質(zhì)量原則和協(xié)同治理原則為新增原則。合法正當(dāng)誠信原則,是指“處理個(gè)人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞剑裱\信原則,不得通過欺詐、誤導(dǎo)等方式處理個(gè)人信息”;質(zhì)量原則,是指“為實(shí)現(xiàn)處理目的,所處理的個(gè)人信息應(yīng)當(dāng)準(zhǔn)確,并及時(shí)更新”;協(xié)同治理原則,是指“國家建立健全個(gè)人信息保護(hù)制度,預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為,加強(qiáng)個(gè)人信息保護(hù)宣傳教育,推動形成政府、企業(yè)、相關(guān)行業(yè)組織、社會公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境”。
第二章 個(gè)人信息處理規(guī)則
1. 新增處理信息的六大合法理由,且基于同意理由的處理需要賦予用戶撤回同意的權(quán)利
相比之前《個(gè)人信息安全規(guī)范》中采用的“告知同意 – 告知同意的例外”作為合法處理個(gè)人信息的適用框架,《草案》采用了與GDPR一致的立法邏輯,直接將告知同意作為處理個(gè)人信息的合法理由之一。同時(shí),以“同意”作為合法理由處理個(gè)人信息,必須賦予用戶撤回同意的權(quán)利。
“第十三條 符合下列情形之一的,個(gè)人信息處理者方可處理個(gè)人信息:
(一)取得個(gè)人的同意;
(二)為訂立或履行個(gè)人作為一方當(dāng)事人的合同所必需;
(三)為履行法定職責(zé)或者法定義務(wù)所必需;
(四)為應(yīng)對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需;
(五)為公共利益實(shí)施新聞報(bào)道,輿論監(jiān)督等行為在合理的范圍內(nèi)處理個(gè)人信息;
(六)法律,行政法規(guī)規(guī)定的其他情形。
第十六條 基于個(gè)人同意而進(jìn)行的個(gè)人信息處理活動,個(gè)人有權(quán)撤回其同意。”
2. 同意的形式要件新增“單獨(dú)同意”
有關(guān)同意的規(guī)定中,主觀要件、形式要件、變更情形、未成年人同意的特殊要求和保障用戶可以拒絕同意的權(quán)利延續(xù)了原個(gè)人信息保護(hù)體系框架的要求。值得一提的是有關(guān)同意的形式要件新出現(xiàn)了“單獨(dú)同意”的描述。在此之前,單獨(dú)同意的類似概念曾作為《個(gè)人信息安全規(guī)范》要求個(gè)人信息控制者收集生物識別信息前獲取用戶同意的形式要件。與之相類似的概念,例如“明示同意【1】”至此將被“單獨(dú)同意”這個(gè)更為明確更容易理解的概念所取代。
“第十四條 處理個(gè)人信息的同意,應(yīng)當(dāng)由個(gè)人在充分知情的前提下,自愿、明確作出意思表示。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或書面同意的,從其規(guī)定。”
3. 新增豁免告知的法定情形
合乎要求的告知義務(wù)是合法正當(dāng)誠信原則和透明原則的重要體現(xiàn)。《草案》在有關(guān)告知的要求中,從一般告知內(nèi)容,告知的形式、變更告知的情形等均作出了細(xì)致要求。除此之外,《草案》創(chuàng)設(shè)了兩項(xiàng)豁免告知的情形,分別是基于保密義務(wù)的豁免,和基于緊急情況的豁免:
“第十九條 個(gè)人信息處理者處理個(gè)人信息,由法律,行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的,可以不向個(gè)人告知前條規(guī)定的事項(xiàng)。
緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無法及時(shí)向個(gè)人告知的,個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后予以告知。”
“共同處理”替代了“共同控制”概念,并將二者共同推向責(zé)任承擔(dān)的前臺
《草案》定義了共同處理者的概念,不再區(qū)分個(gè)人信息控制者和處理者。但也應(yīng)澄清,除了概念上的重新定義,二者的責(zé)任承擔(dān)方式也由《個(gè)人信息安全規(guī)范》中的前后臺模式轉(zhuǎn)變?yōu)楣餐嫦騻€(gè)人主體的連帶責(zé)任模式,且相關(guān)的連帶責(zé)任包括了合同責(zé)任和侵權(quán)責(zé)任的雙方面連帶。
“第二十一條 兩個(gè)或者兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的,應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。但是,該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規(guī)定的權(quán)利。
個(gè)人信息處理者共同處理個(gè)人信息,侵害個(gè)人信息權(quán)益的,依法承擔(dān)連帶責(zé)任。“
4. 向第三方提供的告知同意更為嚴(yán)格,匿名化信息不得重新識別
作為個(gè)人信息權(quán)利極易遭到漠視和侵犯的缺口,向第三方提供和共享個(gè)人信息已逐步受到監(jiān)管的嚴(yán)密關(guān)注。在《草案》中,向第三方提供個(gè)人信息需要履行相當(dāng)嚴(yán)格的義務(wù),包括但不限于(1)事先的充分告知和單獨(dú)同意;(2)第三方受到嚴(yán)格的處理限制,且額外要求第三方不得對匿名化信息采取技術(shù)手段重新識別。
“第二十四條 個(gè)人信息處理者向第三方提供其處理的個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知第三方的身份、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類,并取得個(gè)人的單獨(dú)同意。接收個(gè)人信息的第三方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息。第三方變更原先的處理目的、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新向個(gè)人告知并取得其同意。
個(gè)人信息處理者向第三方提供匿名化信息的,第三方不得利用技術(shù)等手段重新識別個(gè)人身份。”
5. 自動化決策及其營銷使用場景合并規(guī)制,邏輯更加通順
在原有的個(gè)人信息保護(hù)體系中,自動化決策、個(gè)性化展示、以及拒絕營銷權(quán)均分散表述,對于從業(yè)者而言曾引起很多誤解和爭議。本次《草案》從自動化決策的基本決策邏輯應(yīng)遵守透明和公平原則入手,在決策對個(gè)人權(quán)益造成重大影響時(shí)賦予個(gè)人主體拒絕權(quán),并直接限制了自動化決策最為普遍的應(yīng)用場景“商業(yè)營銷、信息推送”中應(yīng)向個(gè)人提供“不針對其個(gè)人特征的選項(xiàng)”。該條款再次體現(xiàn)了《草案》通順的邏輯和簡明實(shí)用的立法技術(shù)風(fēng)格。
“第二十五條利用個(gè)人信息進(jìn)行自動化決策,應(yīng)當(dāng)保證決策的透明度和處理結(jié)果的公平合理。個(gè)人認(rèn)為自動化決策對其權(quán)益造成重大影響的,有權(quán)要求個(gè)人信息處理者予以說明,并有權(quán)拒絕個(gè)人信息處理者僅通過自動化決策的方式作出決定。
通過自動化決策方式進(jìn)行商業(yè)營銷、信息推送,應(yīng)當(dāng)同時(shí)提供不針對其個(gè)人特征的選項(xiàng)。”
6. 公開個(gè)人信息及使用公開的個(gè)人信息的特別限制
沿用已有的個(gè)人信息保護(hù)體系,除非取得個(gè)人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定的,個(gè)人信息處理者不得公開其處理的個(gè)人信息。值得一提的是,作為對公開的個(gè)人信息遭到毫無門檻的獲取的現(xiàn)狀的回應(yīng),《草案》對于已公開信息的處理作出特別限制,核心主要在于關(guān)注已公開信息在公開時(shí)的用途,以及使用此類公開信息的用途,具體體現(xiàn)為:(1)只能在合理范圍內(nèi)處理;(2)超出合理范圍的處理應(yīng)當(dāng)重新告知并取得同意;(3)被公開的用途不明確的應(yīng)當(dāng)謹(jǐn)慎處理;(4)使用用途為對個(gè)人有重大影響的活動時(shí)應(yīng)重新告知個(gè)人并取得同意。
“第二十六條 個(gè)人信息處理者不得公開其處理的個(gè)人信息;取得個(gè)人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定的除外。
第二十八條 個(gè)人信息處理者處理已公開的個(gè)人信息,應(yīng)當(dāng)符合該個(gè)人信息,被公開時(shí)的用途;超出與該用途相關(guān)的合理范圍的,應(yīng)當(dāng)依本法規(guī)定向個(gè)人告知并取得其同意。
個(gè)人信息被公開時(shí)的用途不明確的,個(gè)人信息處理者應(yīng)當(dāng)合理、謹(jǐn)慎的處理已公開的個(gè)人信息;利用已公開的個(gè)人信息從事對個(gè)人有重大影響的活動,應(yīng)當(dāng)依照本法規(guī)定向個(gè)人告知并取得其同意。”
7. 新增公共場所采集圖像的特別安排
出于公共安全的需要以及避免公權(quán)力的濫用,《草案》制訂了有關(guān)公共場所采集個(gè)人圖像和個(gè)人身份特征信息的條款,并限制了其安裝設(shè)備和使用信息目的,要求其設(shè)置顯著提示。該條款明顯是對國際潮流的順應(yīng)【2】,但對于何為個(gè)人身份特征信息尚有待進(jìn)一步的解釋和收口。
“第二十七條 在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識。所收集的個(gè)人圖像,個(gè)人身份特征信息只能用于維護(hù)公共安全的目的,不得公開,或者向他人提供;取得個(gè)人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定的除外。”
8. 設(shè)專節(jié)對處理敏感個(gè)人信息作出嚴(yán)格限制
敏感個(gè)人信息在草案中的定義采用了概念與示例的方式,強(qiáng)調(diào)這類個(gè)人信息的歧視性后果或造成人身、財(cái)產(chǎn)安全的嚴(yán)重危害的后果,相對于《個(gè)人信息安全規(guī)范》的個(gè)人敏感信息列表,“民族”“種族“首次被明確列舉。敏感個(gè)人信息處理的嚴(yán)格限制體現(xiàn)在(1)處理前提是特定目的和充分的必要性;(2)基于個(gè)人同意處理的應(yīng)獲得單獨(dú)同意或書面同意;(3)征得同意的告知事項(xiàng)增加告知處理敏感個(gè)人信息的必要性以及對個(gè)人的影響;(4)法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得相關(guān)行政許可或者作出更嚴(yán)格限制的,從其規(guī)定。
“第二十九條 個(gè)人信息處理者具有特定的目的和充分的必要性,方可處理敏感個(gè)人信息。
敏感個(gè)人信息是一旦泄露或者非法使用,可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息,包括種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等信息。
第三十條 基于個(gè)人同意處理敏感個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的,從其規(guī)定。
第三十一條 個(gè)人信息處理者處理敏感個(gè)人信息的,除本法第十八條規(guī)定的事項(xiàng)外,還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人的影響。
第三十二條 法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得相關(guān)行政許可或者作出更嚴(yán)格限制的,從其規(guī)定。“
第三章 個(gè)人信息跨境提供的規(guī)則
1. 捋順了個(gè)人信息跨境提供需要滿足的前提條件
在原有個(gè)個(gè)人信息保護(hù)體系下,個(gè)人信息跨境提供的規(guī)則難以捉摸。《草案》對個(gè)人信息跨境需要滿足的必要前提進(jìn)行了整合,并將向個(gè)人主體的告知和獲取個(gè)人主體的單獨(dú)同意作為另一必要前提條件。
此外,除了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)當(dāng)將在中國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲在境內(nèi)外,處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,同樣也受到了前述境內(nèi)存儲約束。二者若確需向境外提供個(gè)人信息的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。
“第四十條 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲在境內(nèi)。確需向境外提供的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估;法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評估的,從其規(guī)定。”
2. 國際執(zhí)法協(xié)助擴(kuò)展至行政執(zhí)法協(xié)助,新增個(gè)人數(shù)據(jù)管制和反制條款
出于在全球數(shù)據(jù)治理博弈中對中國個(gè)人數(shù)據(jù)主體和數(shù)據(jù)主權(quán)的保護(hù),也出于在國際關(guān)系中取得微妙的平衡,本次《草案》首次創(chuàng)制了對個(gè)人數(shù)據(jù)的管制和反制條款,具體體現(xiàn)的措施為將管制和反制對象列入限制或禁止個(gè)人信息提供的清單。管制和反制的適用條件也進(jìn)行了嚴(yán)格限制。其中管制的對象為:從事?lián)p害了中國數(shù)據(jù)主體權(quán)益或危害中國國家安全、公共利益的個(gè)人信息處理活動的境外機(jī)構(gòu)和個(gè)人;而反制的對象則是:對中國采取歧視性的禁止、限制或者其他類似措施的國家和地區(qū)。
“第四十一條 因國際司法協(xié)助或者行政執(zhí)法協(xié)助,需要向中華人民共和國境外提供個(gè)人信息的,應(yīng)當(dāng)依法申請有關(guān)主管部門批準(zhǔn)。
中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個(gè)人信息有規(guī)定的,從其規(guī)定。
第四十二條 境外的組織、個(gè)人從事?lián)p害中華人民共和國公民的個(gè)人信息權(quán)益,或者危害中華人民共和國國家安全、公共利益的個(gè)人信息處理活動的,國家網(wǎng)信部門可以將其列入限制或者禁止個(gè)人信息提供清單,予以公告,并采取限制或者禁止向其提供個(gè)人信息等措施。
第四十三條 任何國家和地區(qū)在個(gè)人信息保護(hù)方面對中華人民共和國釆取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據(jù)實(shí)際情況對該國家或者該地區(qū)采取相應(yīng)措施。”
第四章 個(gè)人在個(gè)人信息處理活動中的權(quán)利
個(gè)人信息主體權(quán)利的全面構(gòu)建
與原有的個(gè)人信息保護(hù)體系相比,《草案》對于個(gè)人信息主體權(quán)利進(jìn)行了梳理和匯總,從8個(gè)方面賦予個(gè)人信息主體權(quán)利:(1)知情權(quán)(透明原則的權(quán)利落地);(2)決定權(quán);(3)限制權(quán);(4)拒絕權(quán);(5)查閱、復(fù)制權(quán);(6)更正、補(bǔ)充權(quán);(7)刪除權(quán);(8)規(guī)則解釋權(quán)。
在備受關(guān)注的刪除權(quán)方面,《草案》對個(gè)人信息處理者提出了一項(xiàng)類似“行為中止”的刪除權(quán)救濟(jì)保障,即,如果個(gè)人信息主體要求行使刪除權(quán)但實(shí)際上保存期限尚未屆滿,或技術(shù)上存在很大困難的,則個(gè)人信息處理者應(yīng)當(dāng)中止/停止處理個(gè)人數(shù)據(jù)以作為對用戶刪除權(quán)的救濟(jì)。
“第四十四條 個(gè)人對其個(gè)人信息的處理享有知情權(quán)、決定權(quán),有權(quán)限制或者拒絕他人對其個(gè)人信息進(jìn)行處理;法律、行政法規(guī)另有規(guī)定的除外。
第四十五條 個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息;有本法第十九條第一款規(guī)定情形的除外。
個(gè)人請求查閱、復(fù)制其個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供。”
第四十六條 個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的,有權(quán)請求個(gè)人信息處理者更正、補(bǔ)充。
個(gè)人請求更正、補(bǔ)充其個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)對其個(gè)人信息予以核實(shí),并及時(shí)更正、補(bǔ)充。
第四十七條 有下列情形之一的,個(gè)人信息處理者應(yīng)當(dāng)主動或者根據(jù)個(gè)人的請求,刪除個(gè)人信息:
(一) 約定的保存期限已屆滿或者處理目的已實(shí)現(xiàn);
(二) 個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù);
(三) 個(gè)人撤回同意;
(四) 個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息;
(五) 法律、行政法規(guī)規(guī)定的其他情形
法律、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的,個(gè)人信息處理者應(yīng)當(dāng)停止處理個(gè)人信息。
第四十八條 個(gè)人有權(quán)要求個(gè)人信息處理者對其個(gè)人信息處理規(guī)則進(jìn)行解釋說明。
第四十九條 個(gè)人信息處理者應(yīng)當(dāng)建立個(gè)人行使權(quán)利的申請受理和處理機(jī)制。拒絕個(gè)人行使權(quán)利的請求的,應(yīng)當(dāng)說明理由。”
第五章 個(gè)人信息處理者的義務(wù)
1. 強(qiáng)調(diào)信息專員制要求,建立負(fù)責(zé)人報(bào)送備案機(jī)制
《草案》強(qiáng)調(diào)負(fù)責(zé)人監(jiān)督管理職責(zé)以及責(zé)任人個(gè)人姓名和聯(lián)系方式的對外披露要求,個(gè)人信息保護(hù)責(zé)任負(fù)責(zé)人的設(shè)置條件(即處理個(gè)人信息數(shù)量級別)根據(jù)國家網(wǎng)信部門的規(guī)定。另外需要注意的是本次《草案》要求個(gè)人信息處理者應(yīng)將個(gè)人信息保護(hù)負(fù)責(zé)人的相關(guān)聯(lián)絡(luò)性信息報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門,該等向政府的強(qiáng)制性報(bào)備機(jī)制的操作方式有待明確。另外,此次立法層面只是固化了《個(gè)人信息安全規(guī)范》中負(fù)責(zé)專員的機(jī)制,但沒有強(qiáng)制、個(gè)人信息保護(hù)工作機(jī)構(gòu)的部門設(shè)置要求,為中小企業(yè)在部門架構(gòu)設(shè)置進(jìn)行緩沖。
第五十一條 處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)對個(gè)人信息處理活動以及采取的保護(hù)措施等進(jìn)行監(jiān)督。
個(gè)人信息處理者應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等,并報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。
2. 建立境外個(gè)人信息處理者的溝通路徑
針對中國境外個(gè)人信息處理者活動的監(jiān)管溝通路徑,《草案》要求設(shè)立境內(nèi)專門機(jī)構(gòu)或指定境內(nèi)代表,并要求履行溝通渠道的報(bào)送義務(wù),該項(xiàng)規(guī)定彌補(bǔ)了一直以來針對境外機(jī)構(gòu)監(jiān)管的敞口,與《草案》的域外管轄擴(kuò)展落地直接呼應(yīng),也是與歐盟GDPR等域外個(gè)人信息保護(hù)法的機(jī)制保持一致性的對等要求。因此,對于可能觸發(fā)《草案》適用的外國組織應(yīng)做好中國境內(nèi)機(jī)構(gòu)或指定代表的準(zhǔn)備。
第五十二條 本法第三條第二規(guī)定的中華人民共和國境外的個(gè)人信息處理者,應(yīng)當(dāng)在中華人民共和國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表,負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù),并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。
3. DPIA強(qiáng)制義務(wù)場景具象化
高風(fēng)險(xiǎn)處理活動評估(DPIA)是是個(gè)人信息處理者合規(guī)經(jīng)營持續(xù)化自主運(yùn)轉(zhuǎn)以及滿足自證要求的最重要渠道之一。但此前,我國DPIA的規(guī)定處于《個(gè)人信息安全規(guī)范》非強(qiáng)制性標(biāo)準(zhǔn)級別,大多數(shù)企業(yè)也未將評估作為必備內(nèi)控手段。《草案》此次將DPIA要求提升至法律強(qiáng)制性要求,對于企業(yè)內(nèi)部合規(guī)制度建設(shè)提出更嚴(yán)格要求。相比《個(gè)人信息安全規(guī)范》 存在的“高風(fēng)險(xiǎn)”性籠統(tǒng)場景性規(guī)定(產(chǎn)品或服務(wù)發(fā)布前、業(yè)務(wù)功能發(fā)生重大變化時(shí)、法律法規(guī)有新的要求時(shí)、業(yè)務(wù)模式、信息系統(tǒng)、運(yùn)行環(huán)境發(fā)生重大變更時(shí)、發(fā)生重大個(gè)人信息安全事件時(shí)),《草案》提出的強(qiáng)制性DPIA要求則從更加具體化的處理活動為出發(fā)點(diǎn) ---處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動化決策、委托處理個(gè)人信息、向第三方提供個(gè)人信息、公開個(gè)人信息、向境外提供個(gè)人信息,對于處理者來說DPIA的遵循執(zhí)行上《草案》減少內(nèi)部判斷繁瑣和不確定性風(fēng)險(xiǎn)。另外,對于風(fēng)險(xiǎn)評估報(bào)告和處理情況記錄保存時(shí)間提出了至少三年的期限性要求,也應(yīng)作為企業(yè)檔案保管制度新變化點(diǎn)。
第五十四條 個(gè)人信息處理者應(yīng)當(dāng)對下列個(gè)人信息處理活動在事前進(jìn)行風(fēng)險(xiǎn)評估,并對處理情況進(jìn)行記錄:
(一)處理敏感個(gè)人信息;
(二)利用個(gè)人信息進(jìn)行自動化決策;
(三)委托處理個(gè)人信息、向第三方提供個(gè)人信息、公開個(gè)人信息;
(四)向境外提供個(gè)人信息;
(五)其他對個(gè)人有重大影響的個(gè)人信息處理活動。
風(fēng)險(xiǎn)評估的內(nèi)容應(yīng)當(dāng)包括:
(一)個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)必要;
(二)對個(gè)人的影響及風(fēng)險(xiǎn)程度;
(三)所采取的安全保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。
風(fēng)險(xiǎn)評估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。
第六章 履行個(gè)人信息保護(hù)職責(zé)的部門
1. 個(gè)人信息保護(hù)職責(zé)部門的定義、層級及職責(zé)范圍更加清晰
《草案》下,個(gè)人信息保護(hù)職責(zé)部門的層級劃分及職責(zé)范圍如下表所列;履行個(gè)人信息保護(hù)職責(zé)的部門的具體職責(zé)主要包括:(1)宣導(dǎo)和監(jiān)督;(2)受理投訴和舉報(bào);(3)調(diào)查處理違法個(gè)人信息處理活動。
“第五十六條 國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門依照本法和有關(guān)法律,行政法規(guī)的規(guī)定在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。
縣級以上地方人民政府有關(guān)部門的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé),按照國家有關(guān)規(guī)定確定。
前兩款規(guī)定的部門統(tǒng)稱為履行個(gè)人信息保護(hù)職責(zé)的部門。”
第五十七條 履行個(gè)人信息保護(hù)職的部門履行下列個(gè)人信息保護(hù)職責(zé):
(一)開展個(gè)人信息保護(hù)宣傳教育,指導(dǎo)、監(jiān)督個(gè)人信息處理者開展個(gè)人信息保護(hù)工作;
(二)接受、處理與個(gè)人信息保護(hù)有關(guān)的投訴、舉報(bào);
(三)調(diào)査、處理違法個(gè)人信息處理活動;
(四)法律、行政法規(guī)規(guī)定的其他職責(zé)。
2. 推動標(biāo)準(zhǔn)和認(rèn)證體系建設(shè)
與《網(wǎng)絡(luò)安全法》重視標(biāo)準(zhǔn)建設(shè)的原則一致,《草案》在“”履行個(gè)人信息保護(hù)職責(zé)的部門”專章中設(shè)有專門條款強(qiáng)調(diào)其標(biāo)準(zhǔn)建設(shè)的工作職能。同時(shí),《草案》將個(gè)人信息保護(hù)評估、認(rèn)證服務(wù)納入到個(gè)人信息保護(hù)社會化服務(wù)體系建設(shè)當(dāng)中,呼應(yīng)了重要原則中的“協(xié)同治理原則”,但哪些機(jī)構(gòu)有權(quán)開展、開展流程以及認(rèn)證結(jié)論的時(shí)效性等問題仍有待關(guān)注具體的實(shí)施細(xì)則如何確定。
“第五十八條 國家網(wǎng)信部門和國務(wù)院有關(guān)部門按照職責(zé)權(quán)限組織制定個(gè)人信息保護(hù)相關(guān)規(guī)則、標(biāo)準(zhǔn),推進(jìn)個(gè)人信息保護(hù)社會化服務(wù)體系建設(shè),支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評估、認(rèn)證服務(wù)。”
第七章 法律責(zé)任
1. 顯著提高行政責(zé)任處罰標(biāo)準(zhǔn)
在《草案》草案中,行政責(zé)任的處罰標(biāo)準(zhǔn)在延續(xù)原有的《網(wǎng)絡(luò)安全法》的百萬處罰標(biāo)準(zhǔn)基礎(chǔ)上,新設(shè)了“情節(jié)嚴(yán)重”的處罰標(biāo)準(zhǔn),并將單位罰金提高至“五千萬元以下或者上一年度營業(yè)額百分之五以下”,直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員罰金提高至“十萬元以上一百萬元以下”,并同時(shí)可導(dǎo)致業(yè)務(wù)暫停乃至“吊銷相關(guān)業(yè)務(wù)許可”的嚴(yán)厲處罰。
該處罰明顯借鑒了GDPR中2000萬歐元或者企業(yè)上一年度全球營收的4%(兩者取其高)罰款的嚴(yán)厲處罰思路,也反映了監(jiān)管對于整肅個(gè)人信息處理市場、打擊違法處理個(gè)人信息的決心。
第六十二條 違反本法規(guī)定處理個(gè)人信息,或者處理個(gè)人信電未按照規(guī)定采取必要的安全保護(hù)措施的,由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正,沒收違法所得,給予警告;拒不改正的,并處一百萬元以下罰款;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。
有前款規(guī)定的違法行為,情節(jié)嚴(yán)重的,由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正,沒收違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款。
2. 明確了民事責(zé)任法定賠償制度,明確采用過錯推定責(zé)任原則
民事責(zé)任賠償制度一直是個(gè)人信息保護(hù)中的弱項(xiàng),《草案》規(guī)定的民事責(zé)任賠償制度非常類似知識產(chǎn)權(quán)中的“法定賠償制度”。即,可證明損失或獲益的,以具體損失或獲益承擔(dān)賠償責(zé)任;難以計(jì)算損失或獲益的,由人民法院酌定賠償數(shù)據(jù)。可見,與知識產(chǎn)權(quán)法定賠償制度的由來一致,個(gè)人信息侵權(quán)賠償亦存在權(quán)利性質(zhì)的特殊性和損失難以計(jì)算的屬性,同時(shí)筆者也相信,在該具體條款的適用中,也將面臨與知識產(chǎn)權(quán)法定賠償條款雷同的困難,諸如如何證明已經(jīng)滿足適用法定賠償?shù)那疤幔址競€(gè)人信息主體多項(xiàng)權(quán)利時(shí)如何計(jì)算法定賠償額,各區(qū)域是否存在統(tǒng)一的賠償量化標(biāo)準(zhǔn)等,屆時(shí)我們亦將拭目以待具體的落地細(xì)則如何解決實(shí)際操作中可能存在的困難。
同時(shí)需要注意的是,《草案》明確個(gè)人信息民事侵權(quán)賠償適用過錯推定原則。根據(jù)《民法典》第1165條的規(guī)定,“行為人因過錯侵害他人民事權(quán)益造成損害的,應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。依照法律規(guī)定推定行為人有過錯,其不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。”對于個(gè)人信息處理者來說,過錯推定原則的適用意味著個(gè)人信息處理者必須時(shí)刻注意履行“自證合規(guī)”義務(wù),在日常的處理活動中嚴(yán)守合規(guī)制度,并做好相應(yīng)的記錄和存證。
“第六十五條 因個(gè)人信息處理活動侵害個(gè)人信息權(quán)益的,按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益承擔(dān)賠償責(zé)任;個(gè)人因此受到的損失和個(gè)人信處理者因此獲得的利益難以確定的,由人民法院根據(jù)實(shí)際情況確定賠償數(shù)額。個(gè)人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責(zé)任。”
3. 公益訴訟制度浮出水面
《草案》提出個(gè)人信息權(quán)益保護(hù)的公益訴訟制度。如同《民事訴訟法》中對公益訴訟主體的定義,“人民檢察院、履行個(gè)人信息保護(hù)職責(zé)的部門和國家網(wǎng)信部門確定的組織”仍是一個(gè)未見蹤影卻被寄予厚望的機(jī)構(gòu),但不可否認(rèn)的是,公益訴訟制度的提出意味著監(jiān)管當(dāng)局已經(jīng)注意到了廣大公民個(gè)人信息遭受侵犯而無力承擔(dān)訴訟成本的現(xiàn)狀,而我們也相信該現(xiàn)狀將在近年內(nèi)從多個(gè)層面得到有力遏制。
“第六十六條 個(gè)人信息處理者違反本法規(guī)定處理個(gè)人信息。侵害眾多個(gè)人的權(quán)益的,人民檢察院、履行個(gè)人信息保護(hù)職責(zé)的部門和國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。”
